Hlavní navigace

Závažná chyba v OpenSSL umožňuje získat privátní klíč

Ondřej Caletka

Sedmého dubna 2014 byla objevena závažná bezpečnostní chyba (CVE-2014–0160) v implementaci heartbeatingu (RFC 6520) v knihovně OpenSSL. Zneužití této chyby umožňuje útočníkovi vzdáleně vyčíst obsah paměti procesu linkovaného s knihovnou OpenSSL, tedy včetně privátních klíčů. Chyba proto dostala přezdívku The Heartbleed Bug.

Postiženy jsou verze OpenSSL 1.0.1 až do verze 1.0.1f včetně. Verze 1.0.1g, stejně jako větve 1.0.0 a 0.9.7 zranitelností netrpí. Zranitelné verze jsou bohužel poměrně hodně rozšířeny v aktuálních distribucích jako Debian Wheezy nebo Gentoo. Je tedy zapotřebí všechny systémy co nejdříve updatovat. Důrazně se také doporučuje všechny SSL certifikáty revokovat a nahradit novými, neboť kompromitace po sobě nezanechává žádnou stopu.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?